[ Zurück ] [ Home ] [ Weiter ]

4         VPN-Technologien

VPNs können unterschiedliche Protokolle verwenden, die an verschiedenen Stellen in die Kommunikation eingreifen. Um dies anschaulich darstellen zu können, wird das OSI Referenzmodell  verwendet.

„Das OSI Referenzmodell teilt die Funktionen und Services der Datenübertragung in 7 Schichten ein. Jede der Schichten hat eine ganz bestimmte Aufgabe, die der jeweiligen darrüberliegenden Schicht als Dienst zur Verfügung gestellt wird. Jede Schicht verlässt sich wiederum auf die Dienste, die ihr die darrunterliegende Schicht zur Verfügung stellt. Zwischen zwei Schichten wird über genau definierte Schnittstellen kommuniziert. Während der Datenstrom vertikal ( also von Schicht 7 zu Schicht 1 und umgekehrt) verläuft, spielt sich die logische Kommunikation zwischen den gleichen Schichten zweier (oder mehrerer) Rechner am Netz ab.

Die Kommunikation wird durch einen definierten Protokollsatz geregelt. Verfolgt man die Daten einer Applikation auf ihrem Weg vom Quellrechner zum Zielrechner zeigt sich, dass sie pro durchlaufener Schicht mit einem „Header“ und einem „Trailer“ versehen werden: sie werden regelrecht „verpackt“.“ [12]

VPNs setzen an 4 verschiedenen Ebenen an: Anwendung, Transport, Netzwerk und Übermittlung.

4.1    Anwendungsschicht (layer 7, application layer)

Typische Protokolle, die in der Anwendungsschicht liegen, sind:

• HTTP (hypertext transfer protocol)
• FTP (file transfer protocol)
• telnet
• SMTP (simple mail transfer protocol)

Setzt eine VPN-Lösung an der Anwendungsschicht an, ist es eigentlich kein VPN im Sinne unserer Definition. Diese Lösungen sind meist nur gezielte Verschlüsselung von bestimmten Nachrichten oder Sitzungen. Sie sind auch meist sehr spezifisch für bestimmte Anwendungen oder gar nur für eigene Programme. Die Software ist selbst dafür zuständig, die Daten verschlüsselt zu übertragen. Der Kommunikationspartner muss dann auch eine Anwendung mit entsprechenden Fähigkeiten besitzen. Vorteil ist, dass keine Änderungen am Netzwerk nötig sind, die Software wird auf den entsprechenden Rechnern installiert und konfiguriert.

Diese Art von Lösung wird hier nicht weiter diskutiert, teilweise wurde sie schon im vorigen Kapitel als Alternative zu einem VPN kurz erwähnt.

VPN-ähnliche Lösungen auf der Anwendungsschicht sind:

• SSH (Secure Shell)
• PGP
• S/MIME
• PEM
• SSL

4.2    Transportschicht (layer 4, transport layer)

Typische Protokolle, die in der Transportschicht liegen, sind:

• TCP (Transmission Control Protocol)
• UDP (User Datagram Protocol)

Die VPN-Lösungen dieser Schicht sind meistens sehr herstellerspezifisch. Bei der Installation wird z.B. bei Windows-Rechnern die Winsock –DLL ausgetauscht. Dies entspricht einem Eingriff in den IP-Stack, der das Filtern von TCP-Port Zugriffen ermöglicht. Dadurch kann die gesamte TCP- und teilweise auch UDP-Kommunikation kontrolliert (verschlüsselt) werden.

Der Vorteil dieser Lösungen ist, dass sie weitgehend transparent sind, d.h. für den Benutzer ist keine aufwendige Einrichtung bzw. Konfiguration nötig.

Nachteile sind der Eingriff ins Betriebssystem (ev. Probleme bei Updates) sowie fehlende Standardisierung. Es können bei diesen Lösungen auch nur TCP- und UDP-Protokolle verschlüsselt werden. Ein weiterer Nachteil sind Sicherheitsprobleme mit verdeckten Kanälen, die es erlauben, unverschlüsselte Nachrichten über UDP oder ICMP (Internet Control Message Protocol) zu übertragen.

4.3    Netzwerkschicht (layer 3, network layer)

Die meisten modernen VPN-Lösungen setzen an der Netzwerkschicht an. Dabei können alle Pakete irgendwelcher IP-Protokolle (TCP, UDP, ICMP, etc.) verschlüsselt werden. Der Quasi-Standard ist dabei IPSec (IP Security). IPSec ist ein offener Standard, der verschiedene Implementationen von Verschlüsselung und  Schlüsselaustausch zulässt. IPSec ist ein Teil von IPv6, wurde aber, da sich IPv6 noch nicht besonders durchgesetzt hat, für IPv4 angepasst.

Für den Schlüsselaustausch kommen dabei zwei Standards in Frage: SKIP (Simple Key Management for Internet Protocols, entwickelt von SUN Microsystems) und ISAKMP/Oakley (Internet Security Association and Key Management Protocol, RFC 2408, RFC 2412). ISAKMP/Oakley wird auch als IKE (Internet Key Exchange, RFC 2409) bezeichnet. In neueren VPN-Produkten wird fast nur mehr IKE verwendet, SKIP ist eher noch bei älteren Produkten in Verwendung.

Für die Verschlüsselung können alle gängigen Verschlüsselungsverfahren verwendet werden, z.B. DES, 3DES, IDEA oder Blowfish  [10] .

Die Offenheit von IPSec bietet den Vorteil, dass jeder Hersteller von VPN-Lösungen sich den geeigneten Standard aussuchen kann. Dadurch können auch neuere und schnellere Verschlüsselungsverfahren verwendet werden. Probleme kann es allerdings dann geben, wenn Produkte verschiedener Hersteller miteinander kommunizieren müssen.

4.4    Übermittlungsschicht (layer 2, data link layer)

Die größte Stärke dieser VPN-Lösungen ist die Unabhängigkeit vom darüber liegenden Netz­werk­protokoll. Sowohl TCP/IP als auch andere Protokolle wie IPX, AppleTalk oder NetBIOS werden unterstützt.

Die drei wichtigsten Protokolle sind:

• PPTP (Point to Point Tunneling Protocol), das auf PPP (Point to Point Protocol) basiert, welches meist  für die Einwahl beim Provider verwendet wird. PPTP wurde von Microsoft entwickelt und mit Windows NT 4.0 eingeführt. Im ursprünglichen Entwurf war noch keine Verschlüsselung implementiert.
• L2F (Layer 2 Forwarding Protocol, RFC 2341) wurde von der Firma CISCO speziell für Einwahlverbindungen entwickelt. Es bietet keine Verschlüsselung und nur eine schwache Benutzerauthentifizierung.
• L2TP (Layer 2 Tunneling Protocoll, RFC 2661) verbindet die Vorteile von PPTP und L2F. Es ist für Einwählverbindungen gedacht und bietet eine starke Authentifikation. Die Datenverschlüsselung erfolgt auf Basis von IPSec.